电力通信系统及方法
【专利摘要】本发明公开了一种电力通信系统及方法,涉及通信【技术领域】。为解决现有技术中,通信系统在电力二次系统的应用当中存在成本较高的问题而发明。本发明提供的电力通信系统,包括:多个安全工作区、横向隔离装置和纵向传输装置,所述安全工作区包括多个业务系统;所述横向隔离装置,设置在不同安全等级的安全工作区之间,用于不同安全等级的安全工作区之间的横向互连;所述纵向传输装置,设置在所述安全工作区的内部,用于建立虚拟专用网VPN,所述安全工作区中的各业务系统之间通过所述VPN进行纵向互连。本发明主要用于电力二次系统中各安全工作区之间及内部的通信过程中。
【专利说明】电力通信系统及方法
【技术领域】
[0001]本发明涉及通信【技术领域】,尤其涉及一种电力通信系统及方法。
【背景技术】
[0002]电力系统包括电力一次系统和电力二次系统,其中电力一次系统主要是指供电系统,电力二次系统主要是为电力一次系统提供检测、保护等功能。为了使电力二次系统能够安全、经济合理地分配电能,保证电力质量指标,并且及时地处理和防止系统事故,需要建立与之相适应的通信系统,以对电力二次系统进行集中管理和统一调度。
[0003]然而,由于电力二次系统中不同业务系统的安全等级不同,在现有技术中,为了提高安全等级较高的业务系统的安全性,控制不同安全等级的业务系统之间的数据传输,通常将不同安全等级的业务系统分别独立成网,使得通信系统的建设成本、运维成本和管理成本居高不下,造成了通信系统在电力二次系统的应用当中存在成本较高的问题。
【发明内容】
[0004]鉴于上述问题,本发明提供了一种电力通信系统及方法,用以解决现有技术中,通信系统在电力二次系统的应用当中存在成本较高的问题。
[0005]为达到上述目的,本发明主要提供如下技术方案:
[0006]一方面,本发明实施例提供了一种电力通信系统,该系统包括:多个安全工作区、横向隔离装置和纵向传输装置,所述安全工作区包括多个业务系统;
[0007]所述横向隔离装置,设置在不同安全等级的安全工作区之间,用于不同安全等级的安全工作区之间的横向互连;
[0008]所述纵向传输装置,设置在所述安全工作区的内部,用于建立虚拟专用网VPN,所述安全工作区中的各业务系统之间通过所述VPN进行纵向互连。
[0009]另一方面,本发明实施例还提供一种电力通信方法,该方法包括:
[0010]不同安全等级的安全工作区之间通过横向隔离装置进行横向互连;
[0011]安全工作区中的各业务系统通过纵向传输装置建立的VPN进行纵向互连。
[0012]借由上述技术方案,本发明提供的电力通信系统及方法,根据电力系统安全等级的不同,将电力系统划分为不同的安全工作区,并将这些工作区部署在同一通信网络中,各安全工作区之间通过横向隔离装置进行横向互连,各安全工作区中的各业务系统之间通过纵向传输装置建立的VPN(Virtual Private Network,虚拟专用网)进行纵向互连。与现有技术相比,本发明提供的电力通信系统及方法,将电力二次系统中具有不同安全等级的安全工作区部署在同一通信网络中,大大降低了通信系统的建设成本、运维成本和管理成本,并将不同安全等级的安全工作区之间通过横向传输装置进行横向互连,可以避免不同安全等级的安全工作区之间进行数据传输时存在的安全性问题,以及将安全工作区内部的各业务系统之间通过VPN进行纵向互连,可以保证各安全工作区内部的各业务系统之间的正常通信。
[0013]上述说明仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的【具体实施方式】。
【专利附图】
【附图说明】
[0014]通过阅读下文优选实施方式的详细描述,各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。在附图中:
[0015]图1示出了本发明实施例电力通信系统的组成示意图;
[0016]图2示出了本发明实施例电力通信方法的流程图;
[0017]图3示出了本发明实施例提供的另一电力通信方法的流程图。
【具体实施方式】
[0018]下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
[0019]电力二次系统中的业务目前主要分为生产大区业务和管理大区业务,并将安全等级高的业务系统单独使用一个通信网络,形成多张网络共存的情况,这样直接导致了建设成本、运维成本和管理成本等多方面成本居高不下的问题发生。
[0020]为了解决通信系统在电力二次系统的应用当中多网共存,导致成本较高的问题,本发明实施例中将电力二次系统进行多业务承载,多业务承载是将多种业务集成并在统一的承载网上运行,将原有的多张业务承载网络优化成统一的承载网,可有效降低通信网络的建设成本、运维成本及管理成本。优选的,本发明实施例采用4G LTE无线通信网络进行通信。
[0021]实施例中,根据电力二次系统的特点及安全要求,实施例中将电力二次系统分为四个安全工作区:实时控制区、非控制生产区、生产管理区、管理信息区。其中,上述四个安全工作区的具体功能如下:
[0022]实时控制区(一区):实时控制区中典型业务系统包括,电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统及发电厂自动监控系统等。实时控制区的主要面向调度员和运行操作人员,数据传输实时性为毫秒级或秒级,其数据通信使用电力调度数据网的实时子网或专用通道进行传输。该区内还包括采用专用通道的控制系统,如:继电保护、安全自动控制系统、低频(或低压)自动减负荷系统及负荷管理系统等,这类系统对数据传输的实时性要求为毫秒级或秒级,其中负荷管理系统为分钟级。
[0023]非控制生产区(二区):非控制生产区中典型业务系统包括调度员培训模拟系统、水库调度自动化系统、继电保护及故障录波信息管理系统、电能量计量系统和电力市场运营系统等,其主要面向电力调度员、水电调度员、继电保护人员及电力市场交易员等。在厂站端还包括电能量远方终端、故障录波装置及发电厂的报价系统等。非控制区的数据采集频度是分钟级或小时级,其数据通信使用电力调度数据网的非实时子网。
[0024]生产管理区(三区):生产管理区中典型业务系统包括气象信息发布系统、雷电检测系统、调度生产管理系统和日报/早报系统等。
[0025]管理信息区(四区)典型业务系统包括办公自动化系统和管理信息系统等。
[0026]为了保证上述电力二次系统中各安全工作区之间及内部的通信安全,本发明实施例提供了一种电力通信系统,如图1所示,该系统包括:横向隔离装置和纵向传输装置;为了能够清楚的描述本发明实施例提供的电力通信系统在电力二次系统中的应用,以第一安全工作区和第二安全工作区为例来代指上述电力二次系统中四个安全工作区中的两个可以进行通信的不同安全等级的安全工作区。其中:
[0027]横向隔离装置,设置在不同安全等级的安全工作区之间,用于不同安全等级的安全工作区之间的横向互连。
[0028]纵向传输装置,设置在所述安全工作区的内部,用于建立虚拟专用网VPN,所述安全工作区中的各业务系统之间通过所述VPN进行纵向互连。
[0029]下面首先详细阐述横向隔离装置的功能及作用。
[0030]实施例中,以电力二次系统中的第一安全工作区向第二安全工作区进行数据传输为例。其中,第一安全工作区和第二安全工作区可以是下述实时控制区、非控制生产区、生产管理区、管理信息区中的两个安全工作区。
[0031]具体的,第一安全工作区向第二安全工作区进行数据信息传输时,该数据信息在传输到第二安全工作区之前,首先会发送给位于第一安全工作区和第二安全工作区之间横向隔离装置,横向隔离装置会对该数据信息的等级性、完整性和安全性进行检查。
[0032]具体的,在横向隔离装置对第一安全工作区向第二安全工作区发送的数据信息进行等级性检查时,可以检查该数据信息、第一安全工作区和第二安全工作区的安全等级。实施例中,可以规定安全等级较高的安全工作区不允许向安全等级较低的安全工作区传输数据,所述传输的数据信息的安全等级禁止向安全等级较低的安全工作区。若第一安全工作区的安全等级第一第二安全工作区,则禁止将该数据信息发送给第二安全工作区,若所需传输的数据信息的安全等级高于第二安全工作区的安全等级,则禁止该数据信息向第二安全工作区传输。
[0033]实施例中,横向隔离装置可以采用物理隔离网闸,通过物理隔离网闸将数据信息进行协议剥离处理,得到原始数据,并对该原始数据进行完整性和安全性检查,将符合完整性和安全性的原始数据发送给第二安全工作区,使第二安全工作区对该原始数据进行协议重建和发送等处理。下面对物理隔离网闸的具体应用进行详细的描述。
[0034]实施例中,电力二次系统中各安全工作区建立通信时,采用4G LTE无线通信网络,在数据信息发送和接收过程中,该数据信息需要遵守TCP/IP (Transmiss1n ControlProtocol/Internet Protocol,传输控制协议/因特网互联协议)。
[0035]具体的,TCP/IP协议称为网络通讯协议,是Internet最基本的协议、Internet国际互联网络的基础,由网络层的IP协议和传输层的TCP协议组成。TCP/IP定义了电子设备如何连入因特网,以及数据如何在它们之间传输的标准。协议采用了 4层的层级结构,每一层都呼叫它的下一层所提供的协议来完成自己的需求。即:TCP负责发现传输的问题,一旦有问题就发出信号,要求重新传输,直到所有数据安全正确地传输到目的地。而IP是给因特网的每一台联网设备规定一个地址。
[0036]以电力二次系统中的实时控制区向安全管理信息区进行数据传输为例,当实时控制区需要通过网络向安全管理区进行数据传输时,实时控制区当中发送的数据信息会包含原始数据信息和TCP/IP协议信息。
[0037]为了消除TCP/IP协议的漏洞,即 OSI (Open System Interconnect1n,开放系统互联)的第三层和第四层的漏洞,必须剥离TCP/IP协议。在经过物理隔离网闸之后,必须再代理重建TCP/IP协议。电力二次系统中的第一安全工作区通过物理隔离网闸与第二安全工作区建立连接,物理隔离网闸将第一安全工作区发送数据信息中的TCP/IP协议全部剥离,将得到的原始数据通过存储介质,以“摆渡”的方式导入到内部主机系统,实现信息的交换。物理隔离网闸在任意时刻只能与一个安全工作区建立非TCP/IP协议的数据连接,即当它与安全工作区相连接时,它与其他的安全工作区的通信连接必须是断开的。即保证两个安全工作区不能同时连接在物理隔离网闸上。物理隔离网闸的原始数据“摆渡”机制是原始数据通过存储介质的存储(写入)和转发(读出)。物理隔离网闸在网络的第七层将数据还原为原始数据文件,然后以“摆渡文件”的形式来传递原始数据。任何形式的数据包、信息传输命令和TCP/IP协议都不可能穿透物理隔离网闸。这同透明桥、混杂模式、IP overUSB、代理主机、以及通过开关方式来转发信息包有本质的区别。剥离应用协议后的原始数据,在经过网闸之前,必须代理重建TCP/IP协议。
[0038]另外,为了消除应用协议(0SI的第五层至第7层)的漏洞,必须剥离应用协议。剥离应用协议后的原始数据,在经过网闸之前,必须代理重建应用协议。一般称应用协议的剥离和重建技术为单边代理技术,所谓的单边代理技术是相对双边而言的。双边代理技术,是指一台计算机有两个网卡,并且执行代理功能。数据包从一个网卡进,从另外一个网卡出。单边代理技术,只有一个网卡,这种情况下,应用协议必须还原成为原始数据,给用户查看,而不能是包,因此是一个完整的应用协议剥离和重建技术。
[0039]实施例中,当电力二次系统中以实时控制区和安全管理信息区之间进行数据传输时,实时控制区和安全管理信息区之间设置物理隔离网闸,实时控制区发送的数据信息首先会发送给物理隔离网闸,物理隔离网闸接收到该数据信息后,将该数据信息进行协议剥离处理。物理隔离网闸将协议剥离处理后得到的原始数据进行本地存储,然后可以对该原始数据进行完整性和安全性检查,将符合完整性和安全性标准的原始数据发送给第二安全工作区,第二安全工作区会对接收到的原始信息进行协议重建及转发。其中,原始数据不包含TCP/IP协议信息。横向隔离装置可以采用物理隔离网闸等装置,并且横向隔离装置可以控制各安全工作区之间数据的传输或断开。
[0040]横向隔离装置,还包括:横向交换机、横向防火墙模块和病毒服务器。
[0041]实施例中,横向交换机,设置在不同安全等级的安全工作区之间,用于对接收到的数据信息进行正向隔离和反向隔离处理,将处理后的数据信息发送给横向防火墙模块;
[0042]横向防火墙模块,与横向交换机连接,用于对接收到的数据信息进行过滤,将过滤后的数据信息发送给病毒服务器;
[0043]病毒服务器,与横向防火墙模块连接,用于对接收到的数据信息进行安全性查杀,将查杀后的数据信息发送给物理隔离网闸。
[0044]具体的,电力二次系统的各安全工作区之间的横向数据传输,可以通过符合安全要求规定的防护设备以及横向交换机实现,具有横向通信业务的系统均接入相应安全区域内的横向交换机。横向交换机具有正向与反向隔离功能,实现对业务与数据的隔离与过滤,保证不同安全区之间的横向安全传输。在电力二次系统的各安全工作区之间,米用横向交换机的正反向隔离功能进行高强度隔离。示例性的,横向交换机的正向隔离可以用于实现生产区向管理区的单向数据发送,横向交换机的反向隔离用于实现管理区向生产区的单向纯文本数据导入。横向数据通信机可以用于实现电力二次系统中各业务系统之间的横向数据通信。
[0045]进一步的,下面详细阐述电力二次系统中各安全工作区的内部中业务系统之间的通信连接。实施例中电力二次系统中各安全工作区的内部通过纵向传输装置建立的VPN进行通信连接。
[0046]实施例中,以电力二次系统中实时控制区为例,实时控制区中典型业务系统包括,电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统及发电厂自动监控系统等。实施例中纵向传输装置建立VPN,使实时控制区中的各业务系统通过VPN建立通信连接,并进行数据访问进行加密认证和权限分配管理。
[0047]具体的,VPN是利用开放的公共网络资源为客户组建的专网,通过对网络数据的封装和加密传输或通过多协议标签技术,在公网上传输私有数据,达到私有网络的安全级别。虚拟专用网综合了专用和公用网络的各自优点,允许有多个站点的公司拥有一个假想的完全专有的网络,而使用公用网络成为其站点之间交流的线路。
[0048]VPN具有两个特性:第一是虚拟,它不需要为专网设置专门的物理连接,利用的是公共网络资源,只要有连接到公网的物理资源即可;第二是专用,它具有专网的特性,可以实现合理的配置公共资源与专用资源。
[0049]VPN通过公共网络建立私有数据传输通道,可以将远程分支办公室、商业伙伴、移动办公人员等连接起来,减轻企业远程访问的费用负担,提供安全的端到端的数据通信,由于VPN兼备了公共网和专用网的许多特点,VPN可以将公众网可靠的性能、扩展性、丰富的功能与专用网的安全、灵活、高效有机的结合在一起,不但可以降低客户网络设备投入和线路投资、缩减了客户每月的通信开支,同时也使网络的使用与维护变得简单,便于管理和扩展,降低了网络运维与管理的人力、物力成本。
[0050]实施例中,纵向传输装置,还包括下述的一种或至少两种组合:调度网设备、防火墙、纵向交换机、纵向数据通信机和纵向加密认证装置。通过上述纵向传输装置,对安全工作区内部的业务系统之间传输的数据访问进行加密和权限分配。
[0051]另外,VPN还包括:实时VPN和非实时VPN。其中,实时VPN,用于电力二次系统中各安全区的内部各业务系统进行实时数据传输;非实时VPN,用于电力二次系统中各安全区的内部各业务系统进行非实时数据传输。
[0052]纵向交换机部署于不同调度中心相同安全区域之间,实现有纵向数据通信的业务系统的汇集接入与访问控制,纵向数据通信机实现业务系统与远端相关系统或功能模块之间的纵向数据通信。纵向加密认证网关部署在控制区与调度数据网实时VPN之间,用于本地控制区与远端控制区相关业务系统或业务模块之间网络数据通信的身份认证、访问控制和传输数据的加密与解密,保障系统连接的合法性和数据传输的机密性及完整性。纵向互联防火墙部署在非控制区与调度数据网VPN之间,同样实现业务之间的纵向通信的身份认证与访问控制。
[0053]纵向交换机上,应根据业务类型分别划分若干个实时或非实时性的VLAN (Virtual Local Area Network虚拟局域网),业务系统纵向通信机的网关地址为该机所接入VLAN的网关地址,实时业务VLAN和非实时业务VLAN可通过二层或三层模式接入调度数据网。不同VLAN之间应配置ACL访问控制功能,避免不同VLAN之间业务系统的直接数据交换。实时VPN用于传输实时类数据,非实时VPN用于传输非实时类数据,VPN之间避免纵向交叉链接。
[0054]本发明提供的电力通信系统,根据电力系统安全等级的不同,将电力系统划分为不同的安全工作区,将各安全工作区之间通过横向隔离装置进行数据传输的横向隔离,将各安全区的内部通过纵向传输装置建立的VPN进行通信连接。与现有技术相比,本发明提供的电力通信系统,可以将电力二次系统中具有不同安全等级的安全工作区部署在同一通信网络中,并将不同的安全工作区之间进行数据传输的横向隔离,避免了不同等级的安全工作区之间数据传输存在的安全隐患,以及将各安全工作区的内部通过VPN进行连接,能够保证各安全工作区的内部的正常通信。
[0055]另外,本发明实施例提供的电力通信系统,在电力二次系统的各安全工作区之间,通过采用横向隔离装置对传输的数据信息进行安全性和完整性检查,将符合安全性和完整性标准的数据发送出去。并且在电力二次系统的安全工作区内部的各业务系统之间,通过纵向传输装置建立的VPN进行通信连接,并对所需传输的数据进行数据加密和权限分配进行管理,能够保证电力二次系统中各安全工作区之间及内部可以安全的进行通信连接。
[0056]进一步的,作为对上述各实施例的实现方法,本发明实施例还提供了一种电力通信方法,为了能够清楚的描述本发明实施例提供的电力通信系统在电力二次系统中的应用,以第一安全工作区和第二安全工作区为例,代指上述电力二次系统中四个安全工作区中的两个可以进行通信的安全工作区,如图2所示,该方法包括:
[0057]步骤201,不同安全等级的安全工作区之间通过横向隔离装置进行横向互连。
[0058]实施例中,横向隔离装置包括物理隔离网闸,如图3所示,通过物理隔离网闸对第一安全工作区与第二安全工作区之间传输的数据信息进行横向隔离的步骤包括:
[0059]步骤2011,物理隔离网闸接收所述第一安全工作区发送的第一数据信息。
[0060]实施例中,根据电力二次系统中个业务系统的安全等级,将电力二次系统分为四个安全工作区:实时控制区、非控制生产区、生产管理区、管理信息区。在电力二次系统当中,为了数据传输安全,各安全工作区之间的数据传输都要经过严格的安全检查,例如:当安全等级较低安全工作区中的数据信息传输到安全等级较高的安全工作区时,如果不对所需传输的数据信息进行安全检查,那么很容易造成安全等级较高的工作区内的业务系统感染病毒,进而导致电力系统的正常运行。
[0061]因此,需要对电力二次系统的各安全工作区之间,以及安全工作区与外网之间传输数据进行控制和安全性检查。实施例中主要以电力二次系统中各安全工作区进行数据传输为例来说明。
[0062]步骤2012,物理隔离网闸将所述第一数据信息进行协议剥离处理。
[0063]实施例中,物理隔离网闸接收到第一安全工作区发送的数据信息,在发送或传输的过程中,可能由于网络等某种原因使得传输的数据信息有数据包丢失的现象;又或者在物理隔离网闸对第一安全工作区发送的数据信息进行协议剥离的过程中有数据包丢失的现象。而数据信息传输的首要目的就是数据信息最终的接收端能够收到所需的数据信息,并且还要保证该数据信息的完整性,即能够正常的使用。因此,当物理隔离网闸对第一安全工作区发送的数据信息进行协议剥离后,需要检查该原始数据的完整性。
[0064]其中,当物理隔离网闸检查到原始数据有不完整的数据时,物理隔离网闸发送反馈信息给发送端。即物理隔离网闸将有数据缺失的数据信息反馈给第一安全工作区,以使得第一安全工作区重新发送完整的数据信息。
[0065]另外,实施例中,根据实际的需要,物理隔离网闸还可以检测第一安全工作区发送的数据信息的等级性高低。由于电力二次系统中各安全工作区之间按照安全等级进行划分,而有些安全等级较高的安全工作区中的数据禁止发送给安全等级较低的安全工作区。因此,物理隔离网闸还可以在接收到第一安全工作区发送的数据信息之后,在对该数据信息进行协议剥离之前(或之后),检测该数据信息中是否包含了由于等级性等因素禁止发送给第二安全工作区的数据信息,如果有,则物理隔离网闸禁止该数据信息进行传输,并发送反馈信息给第一安全工作区。
[0066]步骤2013,物理隔离网闸将协议剥离处理后得到的原始数据发送给所述第二安全工作区,以使得所述第二安全工作区对所述原始数据进行协议重建。
[0067]具体的,当电力二次系统中安全等级较高的数据信息禁止发送给安全等级较低的安全工作区,或者,安全等级较高的安全工作区禁止向安全等级较低的安全工作区时。物理隔离网闸会首先检测第一安全工作区、数据信息及第二安全工作区的安全等级,物理隔离网闸将符合安全等级条件的数据信息进行处理发送,将不符合安全等级传输条件的数据信息禁止传输发送。
[0068]另外,在不同安全等级的安全工作区之间依次设置横向交换机、防火墙模块和病毒服务器;横向交换机对接收到的数据信息进行正向隔离和反向隔离处理,将处理后的数据信息发送给横向防火墙模块;
[0069]防火墙模块对接收到的数据信息进行过滤,将过滤后的数据信息发送给病毒服务器;病毒服务器对接收到的数据信息进行安全性查杀,将查杀后的数据信息发送给物理隔离网闸。
[0070]步骤202,安全工作区中的各业务系统通过纵向传输装置建立的VPN进行纵向互连。
[0071]具体的,以电力二次系统中实时控制区为例,实时控制区中典型业务系统包括,电力数据采集和监控系统、能量管理系统、广域相量测量系统、配电网自动化系统、变电站自动化系统及发电厂自动监控系统等。实施例中纵向传输装置建立VPN,使实时控制区中的各业务系统通过VPN建立通信连接,并进行数据访问进行加密认证和权限分配管理。
[0072]本发明提供的电力通信方法,根据电力系统安全等级的不同,将电力系统划分为不同的安全工作区,将各安全工作区之间通过横向隔离装置进行数据传输的横向隔离,将各安全区的内部通过纵向传输装置建立的VPN进行通信连接。与现有技术相比,本发明提供的电力通信方法,可以将电力二次系统中具有不同安全等级的安全工作区部署在同一通信网络中,并将不同的安全工作区之间进行数据传输的横向隔离,避免了不同等级的安全工作区之间数据传输存在的安全隐患,以及将各安全工作区的内部通过VPN进行连接,能够保证各安全工作区的内部的正常通信。
[0073]另外,本发明实施例提供的电力通信方法,在电力二次系统的各安全工作区之间,通过采用横向隔离装置对传输的数据信息进行安全性和完整性检查,将符合安全性和完整性标准的数据发送出去。并且在电力二次系统的安全工作区内部的各业务系统之间,通过纵向传输装置建立的VPN进行通信连接,并对所需传输的数据进行数据加密和权限分配进行管理,能够保证电力二次系统中各安全工作区之间及内部可以安全的进行通信连接。
[0074]在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
[0075]可以理解的是,上述方法及系统中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
[0076]所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
[0077]在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
[0078]在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
[0079]类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循【具体实施方式】的权利要求书由此明确地并入该【具体实施方式】,其中每个权利要求本身都作为本发明的单独实施例。
[0080]本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
[0081]此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
[0082]本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的发明名称(如确定网站内链接等级的装置)中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如,计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
[0083]应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中,这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
【权利要求】
1.一种电力通信系统,其特征在于,包括:多个安全工作区、横向隔离装置和纵向传输装置,所述安全工作区包括多个业务系统; 所述横向隔离装置,设置在不同安全等级的安全工作区之间,用于不同安全等级的安全工作区之间的横向互连; 所述纵向传输装置,设置在所述安全工作区的内部,用于建立虚拟专用网乂--,所述安全工作区中的各业务系统之间通过所述进行纵向互连。
2.根据权利要求1所述的电力通信系统,其特征在于,所述横向隔离装置,包括:物理隔离网闸; 所述物理隔离网闸,设置在不同安全等级的安全工作区之间,用于接收安全工作区发送的数据信息,将所述数据信息进行协议剥离处理,并将协议剥离处理后得到的数据发送给所述另一安全工作区,以使得所述另一安全工作区对接收到的数据进行协议重建和转发。
3.根据权利要求2所述的电力通信系统,其特征在于,所述横向隔离装置,还包括:横向交换机、横向防火墙模块和病毒服务器; 所述横向交换机,设置在不同安全等级的安全工作区之间,用于对接收到的数据信息进行正向隔离和反向隔离处理,将处理后的数据信息发送给所述横向防火墙模块; 所述横向防火墙模块,与所述横向交换机连接,用于对接收到的数据信息进行过滤,将过滤后的数据信息发送给病毒服务器; 所述病毒服务器,与所述横向防火墙模块连接,用于对接收到的数据信息进行安全性查杀,将查杀后的数据信息发送给所述物理隔离网闸。
4.根据权利要求1所述的电力通信系统,其特征在于,所述纵向传输装置,还包括纵向防火墙模块和纵向交换机; 所述纵向防火墙模块,设置在所述安全工作区中的各业务系统之间,用于对接收到业务系统发送的数据信息进行过滤,将过滤后的数据信息发送给纵向交换机; 所述纵向交换机,与所述纵向防火墙模块连接,用于对接收到的数据信息进行加密认证和访问控制处理,将处理后的数据信息发送给另一业务系统。
5.根据权利要求1所述的电力通信系统,其特征在于,所述包括:实时和非实时 V?” ; 所述安全工作区中的各业务系统之间通过所述实时进行实时数据传输; 所述安全工作区中的各业务系统之间通过所述非实时进行非实时数据传输。
6.—种电力通信方法,其特征在于,包括: 不同安全等级的安全工作区之间通过横向隔离装置进行横向互连; 安全工作区中的各业务系统通过纵向传输装置建立的乂?~进行纵向互连。
7.根据权利要求6所述的电力通信方法,其特征在于,所述不同安全等级的安全工作区之间通过横向隔离装置进行横向互连,包括: 所述横向隔离装置包括物理隔离网闸; 所述物理隔离网闸接收安全工作区发送的数据信息; 所述物理隔离网闸将所述数据信息进行协议剥离处理; 所述物理隔离网闸将协议剥离处理后得到的数据发送给另一安全工作区,以使得所述另一工作区对接收到的数据进行协议重建和转发。
8.根据权利要求7所述的电力通信方法,其特征在于,所述不同安全等级的安全工作区之间通过横向隔离装置进行横向互连,包括: 在不同安全等级的安全工作区之间依次设置横向交换机、防火墙模块和病毒服务器;所述横向交换机对接收到的数据信息进行正向隔离和反向隔离处理,将处理后的数据信息发送给所述横向防火墙模块; 所述防火墙模块对接收到的数据信息进行过滤,将过滤后的数据信息发送给病毒服务器; 所述病毒服务器对接收到的数据信息进行安全性查杀,将查杀后的数据信息发送给所述物理隔离网闸。
9.根据权利要求6所述的电力通信方法,其特征在于,所述安全工作区中的各业务系统通过纵向传输装置建立的乂?~进行纵向互连,包括: 在所述安全工作区中的各业务系统之间设置纵向防火墙模块和纵向交换机; 防火墙模块对接收到业务系统发送的数据信息进行过滤,将过滤后的数据信息发送给所述纵向交换机; 所述纵向交换机对接收到的数据信息进行加密认证和访问控制处理,将处理后的数据信息发送给另一业务系统。
10.根据权利要求6所述的电力通信方法,其特征在于,所述安全工作区中的各业务系统通过纵向传输装置建立的乂?~进行纵向互连,还包括: 所述安全工作区中的各业务系统之间通过所述纵向传输装置建立的实时犯^进行实时数据传输; 所述安全工作区中的各业务系统之间通过所述纵向传输装置建立的非实时进行非实时数据传输。
【文档编号】H02J13/00GK104468310SQ201410648560
【公开日】2015年3月25日 申请日期:2014年11月14日 优先权日:2014年11月14日
【发明者】李垠韬, 袁卫国, 苏丹, 宋伟, 杨睿 申请人:国家电网公司, 国网冀北电力有限公司信息通信分公司